为你推荐
内容简介
前言
第1章 Rootkit概述
1.1 Rootkit的由来
1.2 Rootkit的定义
1.3 Rootkit的原理
1.3.1 计算机系统的抽象
1.3.2 Rootkit设计理念
1.4 Rootkit的类型及其演化
1.5 本章小结
第2章 硬件系统
2.1 保护模式概述
2.2 保护模式执行环境
1.段寄存器
2.通用寄存器
3.指针寄存器
4.变址寄存器
5.标志寄存器
6.控制寄存器
7.描述符表寄存器
2.3 保护模式CPU特权级
2.4 保护模式内存分段与分页
1.地址转换
2.分段与分页
2.5 内存访问控制体系
2.6 本章小结
第3章 软件系统
3.1 Windows系统的设计原则
1.分层体系
2.客户/服务器体系
3.2 Windows系统的体系结构
3.3 Windows的分段与分页
3.4 Windows系统服务调用机制
3.4.1 中断分发
1.硬件中断
2.软中断请求级别(IRQL)
3.4.2 异常分发
3.4.3 系统服务分发
1.系统服务分发
2.内核模式的系统服务分发
3.Rootkit隐身之处
3.5 本章小结
第4章 Windows内核驱动程序
4.1 概述
4.2 重要数据结构
1.I/O请求包IRP
2.驱动对象Driver_Object
3.设备对象Device_Object
4.2.1 IRP
4.2.2 I/O堆栈
4.2.3 IRP的传递与完成
4.3 WDM驱动的基本结构
4.3.1 DriverEntry
1.DriverEntry
2.NTSTATUS
3.PDRIVER_OBJECT
4.PUNICODE_STRING
5.设备对象(DEVICE_OBJECT)
4.3.2 AddDevice
4.3.3 IRP处理例程
4.3.4 Unload
4.3.5 内核驱动程序实例
4.4 本章小结
第5章 用户层Rootkit
5.1 用户层Rootkit概述
5.2 用户层Rootkit技术
5.2.1 IAT钩子
1.PE文件格式
2.IAT钩子技术
5.2.2 Inline Function钩子
5.2.3 DLL注入
5.2.4 DLL劫持
5.3 本章小结
第6章 内核层Rootkit
6.1 内核层Rootkit概述
6.2 内核层Rootkit技术
6.2.1 系统表格钩子
1.SSDT钩子
2.IRP钩子
3.GDT钩子
4.MSR钩子
5.IDT钩子
6.Rootkit对抗杀毒软件示例
6.2.2 映像修改
1.Detours
2.Inline Hook
6.2.3 过滤驱动程序
6.2.4 直接内核对象操纵(DKOM)
6.3 本章小结
第7章 底层Rootkit
7.1 扩展的处理器模式
7.1.1 系统管理模式
7.1.2 虚拟机技术
7.2 固件
7.2.1 板载BIOS
7.2.2 扩展ROM
7.2.3 ACPI组件
7.2.4 UEFI组件
7.3 硬件
7.4 本章小结
第8章 Rootkit检测与取证分析
8.1 Rootkit检测概述
1.软件检测法
2.硬件检测法
8.2 Rootkit检测技术
8.2.1 IAT Hook检测示例
8.2.2 IRP Hook检测示例
8.2.3 IDT Hook检测示例
8.2.4 MSR Hook检测示例
8.2.5 SSDT Hook检测示例
8.2.6 Inline Hook检测示例
8.2.7 基于免疫的Rootkit检测技术
1.模型理论
2.实验仿真
8.3 Rootkit检测工具
8.4 Rootkit取证分析
8.4.1 证据的获取与存储
8.4.2 取证分析
1.静态取证分析
2.动态取证分析
3.基于免疫的Rootkit内存取证分析
8.5 Rootkit取证工具
8.5.1 磁盘镜像工具
1.Guidance EnCase
2.GetData Forensic Imager
3.Guymager
4.AccessData FTK Imager
5.X-Ways Forensics
8.5.2 内存镜像工具
1.OSForensics
2.BeIkasoft Live RAM Capturer
8.5.3 内存分析工具
8.5.4 进程转储工具
8.5.5 时间轴取证工具
8.5.6 证据收集工具
8.5.7 电子邮件取证工具
8.5.8 大数据取证分析工具
8.6 本章小结
第9章 Rootkit的未来
9.1 Rootkit的发展趋势
9.2 Rootkit的防御方向
1.硬件级防御技术[65,66,219,220]
2.操作系统级防御技术[221~223]
3.内存检测取证技术[223,224]
4.免疫云智能防御技术[225,226]
参考文献
买过这本书的人还买过
读了这本书的人还在读
同类图书排行榜
购物车
个人中心
